[MAJ] Fitbit répond à la polémique sur le piratage de son bracelet Flex

Mise à jour : Suite à notre article, Fitbit a souhaité préciser "le caractère inexact des allégations d’Axelle Apvrille", réaction que nous publions ci-dessous.

« Le mercredi 21 Octobre, 2015, des rapports ont commencé à circuler dans les médias sur la base de déclarations du fournisseur de sécurité, Fortinet. Selon ses dires, les dispositifs Fitbit pourraient être utilisés pour diffuser des logiciels malveillants. Ces rapports sont faux. En réalité, le chercheur de Fortinet - Axelle Apvrille - qui à l'origine a fait ces allégations a confirmé à Fitbit qu’il s’agit seulement d’un scénario théorique et que cela n’est pas possible aujourd’hui. Les trackers Fitbit ne peuvent donc pas être utilisés afin d’infecter les appareils des utilisateurs avec des logiciels malveillants. Nous voulons rassurer nos utilisateurs qu’il demeure sûr d’utiliser leurs appareils Fitbit et qu’aucune action n’est nécessaire. »

Article originel du 22 octobre 2015

Les bracelets connectés Fitbit Flex ne sont pas sûrs, rapporte Axelle Apvrille, chercheur français spécialisé en sécurité. Selon elle, ils sont touchés par une faille suffisamment large pour être piratés en une dizaine de secondes.

Si quelqu’un s’assied à côté de vous et se met à pianoter sur un ordinateur portable, ayez des doutes quant à ses intentions. Il pourrait bien être en train de pirater votre bracelet connecté. Axelle Apvrille explique qu’il est possible de se connecter au Fitbit Flex en Bluetooth sans appairage préalable. C’est de cette manière qu’un malware peut être injecté dans le bracelet.

Le pirate n’a alors plus qu’à attendre que l’utilisateur synchronise son bracelet avec les serveurs de Fitbit via son ordinateur pour que le code malicieux soit transféré à cette machine, à la manière d’un cheval de Troie. « Lorsque la victime souhaite synchroniser ses données de fitness avec les serveurs Fitbit pour mettre à jour son profil, le tracker de fitness répond à la requête, mais en plus du message standard, la réponse est accompagnée du code malicieux », explique la jeune femme, employée de Fortinet.

Injection d'un malware dans le Fitbit Flex.

Lors de ses expérimentations, elle est parvenue à modifier les données envoyées par le Flex aux serveurs de Fitbit, boostant ainsi les objectifs et débloquant de fait plus rapidement les récompenses qui y sont liées. Les résultats des recherches d’Axelle Apvrille sont exposés lors de la conférence Hack.lu qui a lieu actuellement au Luxembourg, mais ils ne semblent pas inquiéter Fitbit.

Pour Fitbit, tout est faux

Prévenu en mars dernier de l’existence de cette faille, le constructeur explique dans un communiqué qu’il « est axé sur la protection de la vie privée de ses consommateurs. » Néanmoins il croit « que les problèmes de sécurité évoqués aujourd’hui sont faux et que les produits Fitbit ne peuvent être utilisés pour infecter les utilisateurs avec un malware. »

Depuis mars dernier, « nous n’avons pas vu de données indiquant qu’il est actuellement possible d’utiliser un tracker pour distribuer un malware. » Un avis qui ne l’empêche pas non plus d’entretenir une communication avec Fortinet afin d’observer l’évolution de la situation.

Lire aussi Bracelets connectés : comment choisir ? Lequel acheter ?

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire